Appleは「iOS 8」のリリースにともない、新バージョンで修正した53件の脆弱性を明らかにした。
最も深刻な脆弱性では、攻撃者がデバイス上で、ルート権限でコードを実行できてしまうおそれがある。これ以外の複数の脆弱性では、カーネル権限またはシステム権限でコードを実行できてしまうおそれがある。これらの脆弱性を悪用するには、デバイス上でコードを実行できなければならないが、リモートコード実行につながる脆弱性も多数明らかにされており、このうちの1つを利用してコードが実行される可能性がある。こうした脆弱性の多くはブラウザエンジンのWebkitに存在する。つまり、このような攻撃はユーザーが悪意のあるウェブページを訪れた際に行われる可能性があるということだ。
これらの問題は、その多くが深刻なもので、古いバージョンのiOSにはまだ存在している。古いバージョンに対して修正しないのはAppleでは通常のことであり、iOS 7.xのユーザーはこうした問題に対して脆弱性を抱えたままとなっている。
これほどではないが、やはり深刻なのは、不正なアクセスポイントによって、iOSのWi-Fi認証情報が盗まれる可能性があることだ。これは、iOSではデフォルトで有効になっていた古く不具合のある認証プロトコルを使って行われる。このプロトコル「Lightweight Extensible Authentication Protocol(LEAP)」は、iOS 8ではデフォルトで無効になっている。
別のバグでは、/tmpに書き込みアクセス権限を持つ攻撃者が未承認アプリをインストールできてしまう可能性がある。また複数の脆弱性では、アプリがデバイスをオフにしたり、再起動させたりする可能性がある。
攻撃者がログやApple IDなどの機密情報にアクセスできてしまう脆弱性や、攻撃者がカーネルメモリの情報を特定してアドレス空間配置のランダム化(ASLR)などの保護を迂回できてしまう脆弱性もある。
53件の脆弱性のうち4件は、2013年に明らかにされていた。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ビジネスの推進には必須!
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
データ統合のススメ
OMO戦略や小売DXの実現へ
顧客満足度を高めるデータ活用5つの打ち手
誰でも、かんたん3D空間作成
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
CES2024で示した未来
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
写真で見るモトローラの「手首に着けるスマホ」コンセプトモデル 
シャオミ初のEV「SU7」、MWCに登場 
レトロかわいいAIデバイス「rabbit r1」を体験--新たなトレンドを作れるか?